Die Künstliche Intelligenz (KI) gehört zu den am schnellsten wachsenden Technologien der letzten Jahre und hat das Potenzial, zahlreiche Bereiche unseres Lebens grundlegend zu verändern, indem sie Geschäftsprozesse automatisiert, Entscheidungen verbessert und personalisierte Dienstleistungen ermöglicht. Es steht außer Frage, dass dieser technologische Fortschritt erhebliche Vorteile bietet, er stellt Unternehmen jedoch auch vor komplexe (rechtliche) Herausforderungen. Neben grundlegenden Fragen iZm mit dem Urheberrecht oder der Produkthaftung, ist die Einhaltung von Compliance-Vorgaben sicherzustellen. Der Datenschutz stellt in diesem Zusammenhang die zentrale Herausforderung dar. So führt der Umgang mit personenbezogenen Daten in KI-Systemen zu einem Spannungsverhältnis zwischen dem Streben nach technologischer Innovation und der Notwendigkeit, die Privatsphäre zu schützen und die rechtlichen Vorgaben einzuhalten.
AI-Act und DSGVO
Eine entscheidende Rolle bei der Regulierung von KI in Europa spielt der am 1. August 2024 in Kraft getretene "AI-Act" (Artificial Intelligence Act; KI-Verordnung der EU). Diese Verordnung zielt darauf ab, einheitliche Standards für die Entwicklung und Nutzung von KI-Systeme zu etablieren und basiert auf einem risikobasierten Ansatz, der verschiedene Risikokategorien für KI-Anwendungen definiert. Ziel des AI-Act ist es, einerseits Risiken im Zusammenhang mit KI zu minimieren, die Sicherheit zu gewährleisten sowie die Grundrechte des Einzelnen zu schützen, während anderseits Innovation und Wettbewerb gefördert werden sollen.
Nachdem KI-Systeme in der Regel auch personenbezogene Daten verarbeiten, müssen dabei auch die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) und des Datenschutzgesetzes (DSG) eingehalten werden. Der nunmehr in Kraft getretene AI-Act lässt die bereits im Jahr 2018 in Kraft getretene DSGVO unberührt. Der AI-Act verweist an einigen Stellen auf Definitionen, Rechte und Pflichten der DSGVO. Die DSGVO bleibt dabei parallel anwendbar, wenn personenbezogene Daten betroffen sind.
Datenschutzrechtliche Besonderheiten und Pflichten beim Einsatz von KI-Systemen
Grundsätzlich ist die DSGVO technologieneutral zu verstehen. Es ist daher irrelevant, ob personenbezogene Daten mithilfe einer KI verarbeitet werden oder nicht. Der Einsatz eines KI-Systems ist demzufolge als „normaler Verarbeitungsvorgang" iSd DSGVO einzustufen. Unternehmen müssen beim Einsatz von KI-Systemen, insbesondere nachstehende datenschutzrechtliche Aspekte beachten.
Einhaltung der DSGVO-Grundsätze
In einem ersten Schritt ist sicherzustellen, dass die allgemeinen Grundsätze der DSGVO beim Einsatz von KI-Systemen eingehalten werden. Die Datenverarbeitung im Rahmen eines KI-Systems muss zunächst auf einer rechtlichen Basis beruhen. Dies kann entweder durch gesetzliche Vorgaben bestimmt sein oder durch die ausdrückliche Zustimmung der betroffenen Person erfolgen. Der Grundsatz der Transparenz verlangt, die betroffene Person entsprechend über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Darüber hinaus muss die Verarbeitung personenbezogener Daten einen klar definierten Zweck aufweisen (Zweckbindung). Die verarbeiteten Daten müssen dafür auch erforderlich und relevant sein (Datenminimierung) und dürfen nur so lange verarbeitet und gespeichert werden, wie für den bestimmten Zweck notwendig ist (Speicherbegrenzung). Auch bei der Verarbeitung mithilfe von KI-Systemen muss eine angemessene Sicherheit gewährleistet sein. Dies beinhaltet auch den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust. Es ist also sicherzustellen, dass das verwendete Tool über entsprechende Sicherheitsstandards verfügt und verarbeitete Daten nicht unrechtmäßig Dritten offengelegt werden.
Vorsicht bei automatisierten Entscheidungen
Besonders streng sind die Anforderungen bei der automatisierten Entscheidungsfindung. Hierbei handelt es sich um Entscheidungen, die ohne menschliches Eingreifen von Softwaren getroffen werden (z. B. im Recruiting-Bereich: automatisches Aussortieren im Bewerbungsprozess durch Einsatz von KI-Systemen). Die betroffene Person, welche einer automatisierten Entscheidung unter-liegt, ist umfassend darüber zu informieren und hat ein Recht auf menschliche Überprüfung.
Datenschutzrechtliche Verantwortung klären
Im Datenschutzrecht ist es wichtig, sich die Frage der Rollenverteilung zu stellen und klarzustellen, wer je nach Art und Umfang des Auftrags als Verantwortlicher und wer als Auftragsverarbeiter agiert. Für den Einsatz von KI-Systemen muss daher geklärt werden, welche Person oder Stelle über die Zwecke und Mittel der Datenverarbeitung entscheidet und somit datenschutzrechtlich verantwortlich ist. Je nach Rollenverteilung sind dann entsprechende Verträge abzuschließen, sei es ein Auftragsverarbeitungsvertrag oder ein Vertrag über gemeinsame Verantwortlichkeit, um die wechselseitigen Rechte und Pflichten zu regeln, einschließlich der Verantwortung für Betroffenenrechte und Informationspflichten.
Auf den Punkt gebracht...
... haben Unternehmen aus datenschutzrechtlicher Sicht insbesondere Nachstehendes beim Einsatz von KI-Systemen zu klären:
- Was ist die konkrete Rechtsgrundlage für die Verwendung des KI-Systems?
- Werden die Grundsätze der DSGVO eingehalten?
- Festlegung der datenschutzrechtlichen Rollenverteilung – wer ist Verantwortlicher, wer ist Auftragsverarbeiter? Gegebenenfalls sind die entsprechenden Verträge abzuschließen.
- Findet durch Einsatz des KI-Tools eine automatisierte Entscheidung statt?
- Werden durch das KI-System personenbezogene Daten in ein Drittland übermittelt? Hier sind jedenfalls die Bestimmungen über den internationalen Datenverkehr einzuhalten.
- Können die Betroffenenrechte wie z.B. Auskunfts- und Löschbegehren erfüllt werden?
- Die bereits unternehmensintern gesetzten datenschutzrechtliche Maßnahmen und Dokumentationen sind anzupassen (Informationsblätter, Datenschutzerklärung, Verarbeitungsverzeichnis, TOMs etc.).
Beim Einsatz von KI-Systemen können Unternehmen durch die Festlegung klarer Verantwortlichkeiten, die Einhaltung der DSGVO-Grundsätze sicherstellen, dass Datenschutz kein Hindernis, sondern ein integraler Bestandteil des innovativen Prozesses ist. Mit der richtigen Transparenz, dem Schutz der Rechte der Betroffenen und der Berücksichtigung ethischer Überlegungen können Unternehmen KI effektiv und datenschutzkonform nutzen, um ihre Ziele zu erreichen.
www.leitnerlaw.eu
Kommentare auf LEADERSNET geben stets ausschließlich die Meinung des jeweiligen Autors bzw. der jeweiligen Autorin wieder, nicht die der gesamten Redaktion. Im Sinne der Pluralität versuchen wir unterschiedlichen Standpunkten Raum zu geben – nur so kann eine konstruktive Diskussion entstehen. Kommentare können einseitig, polemisch und bissig sein, sie erheben jedoch nicht den Anspruch auf Objektivität.
Kommentar schreiben